建立 IAM Access Analyzer 內部存取分析器 - AWS Identity and Access Management
使用 AWS 帳戶 作為信任區域來建立內部存取分析器以組織為信任區域建立內部存取分析器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM Access Analyzer 內部存取分析器

若要在某個區域中啟用內部存取權分析器,必須在該區域中建立分析器。您必須在要監控資源存取的每個區域中,建立內部存取分析器。

IAM Access Analyzer 會根據每個分析器每個月監控的資源數量,收取內部存取分析的費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

注意

建立或更新分析器之後,可能需要一段時間才能取得調查結果。

IAM Access Analyzer 無法為包含超過 7 萬個主體 (IAM 使用者和角色合計) 的組織產生內部存取調查結果。

您只能在 AWS 組織中建立一個組織層級的內部存取分析器。

使用 AWS 帳戶 作為信任區域來建立內部存取分析器

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. Access Analyzer 下,選擇分析器設定

  3. 選擇 Create analyzer (建立分析器)

  4. 分析區段中,選擇資源分析 – 內部存取

  5. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  6. 輸入分析器的名稱。

  7. 選擇目前帳戶作為分析器的信任區域。

    注意

    如果您的帳戶不是 AWS Organizations 管理帳戶或委派管理員帳戶,您只能使用您的帳戶建立一個分析器做為信任區域。

  8. 要分析的資源區段中,新增分析器要監控的資源。

    • 若要依帳戶新增資源,請選擇新增 > 從所選帳戶新增資源

      1. 選擇所有支援的資源類型,或選擇定義特定資源類型,然後從資源類型清單中選取資源類型。

        內部存取分析器支援下列資源類型:

      2. 選擇新增資源

    • 若要依 Amazon Resource Name (ARN) 新增資源,請選擇新增資源 > 透過貼上資源 ARN 新增資源

      注意

      ARN 必須完全相符 – 不支援萬用字元。對於 Amazon S3,僅支援儲存貯體 ARN。不支援 Amazon S3 物件 ARN 和字首。

      1. 對於每個資源 ARN,請輸入帳戶擁有者 ID 和資源 ARN (以逗號分隔)。每行輸入一個帳戶擁有者 ID 和資源 ARN。

      2. 選擇新增資源

    • 若要依 CSV 檔案新增資源,請選擇新增資源 > 透過上傳 CSV 檔案新增資源

      您可以使用 AWS 資源總管 來搜尋帳戶中的資源,並匯出 CSV 檔案。然後,您可以上傳 CSV 檔案來設定分析器要監控的資源。

      1. 選擇選擇檔案,然後從您的電腦中選取 CSV 檔案。

      2. 選擇新增資源

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇 Create analyzer (建立分析器)

建立內部存取分析器來啟用 IAM Access Analyzer 時,帳戶中會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

以組織為信任區域建立內部存取分析器

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. Access Analyzer 下,選擇分析器設定

  3. 選擇 Create analyzer (建立分析器)

  4. 分析區段中,選擇資源分析 – 內部存取

  5. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  6. 輸入分析器的名稱。

  7. 選擇整個組織作為分析器的信任區域。

  8. 要分析的資源區段中,新增分析器要監控的資源。

    • 若要為帳戶新增資源,請選擇新增資源 > 從所選帳戶新增資源

      1. 選擇所有支援的資源類型,或選擇定義特定資源類型,然後從資源類型清單中選取資源類型。

        內部存取分析器支援下列資源類型:

      2. 若要從您的組織中選取帳戶,請選擇從組織中選取。在選取帳戶區段中,選擇階層以依組織結構選取帳戶,或選擇清單以從組織中的所有帳戶清單中選取帳戶。

        若要從組織手動輸入帳戶,請選擇輸入 AWS 帳戶 ID。在帳戶 AWS 帳戶 IDs欄位中輸入以逗號分隔的AWS 一或多個 ID

      3. 選擇新增資源

    • 若要依 Amazon Resource Name (ARN) 新增資源,請選擇新增資源 > 透過貼上資源 ARN 新增資源

      注意

      ARN 必須完全相符 – 不支援萬用字元。對於 Amazon S3,僅支援儲存貯體 ARN。不支援 Amazon S3 物件 ARN 和字首。

      1. 對於每個資源 ARN,請輸入帳戶擁有者 ID 和資源 ARN (以逗號分隔)。每行輸入一個帳戶擁有者 ID 和資源 ARN。

      2. 選擇新增資源

    • 若要依 CSV 檔案新增資源,請選擇新增資源 > 透過上傳 CSV 檔案新增資源

      您可以使用 AWS 資源總管 來搜尋帳戶中的資源,並匯出 CSV 檔案。然後,您可以上傳 CSV 檔案來設定分析器要監控的資源。

      1. 選擇選擇檔案,然後從您的電腦中選取 CSV 檔案。

      2. 選擇新增資源

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇提交

當您建立以組織作為信任區域的內部存取分析器時,組織的每個帳戶中會建立一個名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。